Malware–as-a-service(MaaS) ตัวใหม่ ที่ใช้ชื่อว่า ‘DuckLogs’ เป็นเครื่องมือที่ช่วยให้ผู้ไม่ประสงค์ดีที่ยังขาดความชำนาญ สามารถเข้าถึงหลาย Modules ได้โดยง่าย เพื่อขโมยข้อมูล, ข้อมูลบันทึกการกดแป้นพิมพ์, ข้อมูลการเข้าถึง Clipboard และช่องทางการ Remote ไปยังเครื่องของเป้าหมาย
DuckLogs เป็นการทำงานบนเว็ปทั้งหมด โดยอ้างว่ามี เหล่าผู้ไม่ประสงค์ดีหลายพันคน ที่เข้ามาจ่ายค่าสมัครสมาชิก เพื่อสร้าง และใช้งานมากกว่า 4,000 แบบ
โดยผู้ดูแลระบบจะให้บริการเพิ่มเติมกับลูกค้าบางรายที่ทำการร้องขอ เพื่อช่วยเพิ่มการกระจายของ Malware บนหน้าเว็ปแสดงให้เห็นว่า มีผู้ไม่ประสงค์ดีกว่า 2,000 คน กำลังใช้งานแพลตฟอร์มที่เป็นอันตรายนี้อยู่ และจำนวนเป้าหมายปัจจุบันนับได้มากกว่า 6,000 รายแล้ว ผู้เชี่ยวชาญด้าน Malware ของ Cyble ตรวจจับ DuckLogs malware ได้ และได้วิเคราะห์ทันทีที่ตรวจพบ
คุณสมบัติของ DuckLogs ประกอบด้วย
ตัวขโมยข้อมูล Information stealer Remote access torjan(RAT) แต่จะมีมากกว่า 100 Modules ที่จะเป็น Modules เฉพาะ สำหรับ Application ที่เป็นเป้าหมายพิเศษ
นี้คือบางรายการของ ข้อมูล และApplications ที่เป็นเป้าหมายของการขโมย ดังนี้
- ข้อมูล Hardware และ Software
- ไฟล์ที่เก็บไว้ในเครื่อง
- ข้อมูลบัญชี และข้อมูล Cookies บน Web Browsers
- Email Outlook และ Thunderbird
- ข้อมูลการส่งข้อความบน Discord, Telegram, Signal, Skype
- ข้อมูลบัญชีของ NordVPN, ProtonVPN, OpenVPN และ CrypticVPN
- ข้อมูล FileZilla และ TotalCommander
- ข้อมูลบัญชี Steam, Minecraft, Battle.net และ Uplay
- ข้อมูล Crytocurrency wallets : Metamask, Exodus, Coinomi, Atomic และ Electrum
องค์ประกอบของ RAT มีฟังก์ชั่นให้ดึงข้อมูลไฟล์จาก Command and control(C2)server และสามารถเรียกใช้ได้, ทำให้หน้าจอแสดงความขัดข้อง Shutdown, Restart, Logout หรือ Lock เครื่อง, เปิด URLs บน Browser Module อื่น ๆ ของ DuckLogs สามารถที่จะบันทึกการกดแป้นพิมพ์ เพื่อขโมยข้อมูลที่ละเอียดอ่อนได้ (โดยทั่วไปจะใช้เพื่อขโมยข้อมูล Cryptocurrency) และสามารถถ่ายภาพหน้าจอได้
ผู้เชี่ยวชาญของ Cyble กล่าวว่า Malware ยังรองรับกับ การแจ้งเตือนบน Telegram, encrypted logs และการติดต่อสื่อสาร, Code obfuscation Process hollowing เพื่อเรียกใช้คำสั่งที่ต้องการบน Memory, Persistence mechanism, การทำ Bypass สำหรับ Window User Account Control
ปัจจุบันมีเปิดบน Clearnet ได้ 4 domain และสามารถสร้างคำสั่ง สำหรับ Modules และฟังก์ชัน ที่จะใส่ให้กับ Malware ในขั้นต่อนสุดท้าย นอกจากนี้ ที่ตัวสร้างยังมีตัวเลือกให้ ป้องกันหลีกเลี่ยง เช่น การเพิ่มข้อยกเว้นให้กับ Windows Defender หน่วงเวลาการเรียกใช้งาน หรือปิดการใช้งาน Task Manager
Cyble กล่าวว่า ภัยคุกคามเริ่มมีแนวโน้มที่จะเกิดขึ้นทาง Email (Spam, phishing) แนะนำให้ผู้ใช้คอยตรวจสอบข้อความที่น่าสงสัย และไม่เปิดลิงก์จากแหล่งที่ไม่น่าเชื่อถือ นอกจากนี้ ข้อมูลละเอียดอ่อนที่คัดลอกไปยัง Clipboard ควรที่จะตรวจสอบหลังจากใช้งาน เพื่อให้แน่ใจว่าแฮกเกอร์ไม่ได้เปลี่ยนแปลงรายละเอียด เช่น ปลางทางของการทำธุรกรรม ข้อควรระวังที่มีประโชยน์ คือการการหลีกเลี่ยงการดาวน์โหลดจาก Torrents หรือ Shady website, และ Software Security ที่อัพเดทอยู่เสมอ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น